Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Opnsense Firewall Regel Verständnis Frage 5 - Bad IPs blocken

Mitglied: Balivorinsky

Balivorinsky (Level 1) - Jetzt verbinden

08.01.2019 um 19:11 Uhr, 1069 Aufrufe, 3 Kommentare

Spamhaus Filter bzw. URL Filter um böse IPs zu blocken


habe mir ein alias für die spamhaus.org drop liste erstellt, und die FW Regel dazu.


WAN IP= 192.168.20.1
Habe diese erstmal per NAT, später eventuell mit statischem Routen. Jetzt aber bitte per NAT, danke

Da gibt es nun ein kleines Problem. Wenn ich es nun so mache, das die Opnsense als Exposed Host in der FritzBox eingestellt wird, dann erhalte ich am WAN eine RFC1918 Adresse, ok.
D.h. Bogon Netze darf ich dann erst mal nicht blocken. Wenn ich nun die Spamhaus-Liste aktiviere, in dem sich die IPs per Regel blocke, dann sind da ja auch RFC1918 Adressen drin!
Meine WAN IP ist ja auch eine RFC1918 Adresse, d.h. ich müsste zusätzlich eine Regel für jedes Interfaces erstellen, das ich vom z.b. LAN1 zu (z.B.192.168.20.1) erlaube.

Wenn ein Client aus LAN1 nach administrator.de will, dann muss er ja durch das WAN, welches ich aber geblockt habe. Außerdem muss ich ja auch ins LAN2 und ins eigene LAN1



1 PASS ANY TCP/UDP Source: ANY, Port:ANY --> Destination: LAN1_Adress, Port: 443,80
2 PASS ANY TCP/UDP Source: LAN1_net , Port:ANY --> Destination: WAN-IP (und LAN1,2)
3 BLOCK IPv4 TCP/UDP Source: LAN1_net, Port:ANY --> Destination: Spam_edrop: ANY
4 PASS IPv4 TCP/UDP Source: LAN1_net, Port:ANY --> Destination: ANY, Port: ANY

Ist das so Richtig, oder gibt es bessere Vorschläge, ode Sicherheitsbedenken?
Mitglied: aqui
08.01.2019, aktualisiert um 19:20 Uhr
Ist das so Richtig,
Für WELCHES Interface auf der FW soll denn diese Regel gelten ??? Lokales LAN1 ?
So oder so die Regeln sind völlig wirr dort, egal welches Interface. Den Sinn versteht kein Mensch

Hilfreich wäre also mal wenn du die Güte hättest uns mitzuteilen:
  • a. welches Interface
  • b. die Intention WAS du mit den Regeln 1-4 bewirken willst
Bitte warten ..
Mitglied: Balivorinsky
08.01.2019 um 19:31 Uhr
Hilfreich wäre also mal wenn du die Güte hättest uns mitzuteilen:
  • a. welches Interface
  • b. die Intention WAS du mit den Regeln 1-4 bewirken willst

Interface: LAN1

Regel Nr.1 = Anti Aussperregel
Regel Nr.2 = Erlaube den Clients aus LAN1 auf das WAN Interface, wie oben beschrieben. und LAN1 und LAN2 (alles in einem alias)
Regel Nr.3 = Blockeire alle Clients die auf eine IP vom Spamhaus.org - edrop wollen, weil das keine guten IPs sein sollen
Regel Nr.4 = Anonsten Erlaube das Internet

Hoffe das es somit Verständlicher ist
Bitte warten ..
Mitglied: aqui
08.01.2019, aktualisiert 09.01.2019
OK, see comments embedded...
1 PASS ANY TCP/UDP Source: ANY, Port:ANY --> Destination: LAN1_Adress, Port: 443,80
Irgendwie Unsinn, denn als Source ANY ist eigentlich falsch. Wie sollten hier andere Pakete ankommen die KEINE Source Adressen aus dem LAN1_net haben ?? OK, kosmetisch...

2 PASS ANY TCP/UDP Source: LAN1_net , Port:ANY --> Destination: WAN-IP (und LAN1,2)
Warum sollte irgendein Endgerät im LAN1 Netz die WAN IP der pfSense erreichen müssen ??
Den Grund musst du der Community hier mal erklären ??
LAN1 zu erreichen ist Blödsinn, denn lokale Kommunikation landet ja gar nicht auf der Firewall oder meinst du das aller lokaler Traffic auch durch die FW läuft. Fataler Irrglaube.
LAN2 passt wenn LAN1 und LAN2 kommunizieren dürfen.

3 BLOCK IPv4 TCP/UDP Source: LAN1_net, Port:ANY --> Destination: Spam_edrop: ANY
OK, macht Sinn, blockt allen Traffic zu den IPs der (vermutlich) Alias IP Liste vom Spamhouse.

4 PASS IPv4 TCP/UDP Source: LAN1_net, Port:ANY --> Destination: ANY, Port: ANY
Auch OK, lässt den ganzen Rest durch. Dann ist oben aber die PASS Regel für das LAN2 überflüssig, denn die wird hiermit auch abgefackelt.
Bitte warten ..
Ähnliche Inhalte
Firewall
PfSense: Block deny trotz Regel
Frage von Daywalker91Firewall25 Kommentare

Hallo miteinander, ich hab gerade ein Problem das mich aufregt. Meine Firewall macht nicht das was ich will. Trotz ...

Router & Routing
Opnsense Firewall Regel - NAS
gelöst Frage von BalivorinskyRouter & Routing8 Kommentare

Ich will auch einen NAS Server betreiben, allerdings brauche ich den nur lokal für Backups. Wenn es nicht unbedingt ...

Netzwerkgrundlagen

Opnsense Firewall Regel Verständnis Frage

gelöst Frage von BalivorinskyNetzwerkgrundlagen13 Kommentare

Hallo, zur Firewall Regel habe ich ein paar Verständnis Regeln. Ich habe hier mal ein Beipiel einer Regel für ...

Router & Routing

Opnsense Firewall Regel Verständnis Frage 4

Frage von BalivorinskyRouter & Routing14 Kommentare

Ich habe zwei LANs. LAN1 darf ins Internet und auch ins LAN2. Da ich bei Destination ANY habe, dürfte ...

Router & Routing

Opnsense Firewall Regel Verständnis Frage 2

gelöst Frage von BalivorinskyRouter & Routing10 Kommentare

Da ich mehrere Fragen habe kommt jetzt die zweite :) Das mit dem First Match ist nun klar. D.h. ...

Router & Routing

Opnsense Firewall Regel Verständnis Frage 3

Frage von BalivorinskyRouter & Routing7 Kommentare

Diesmal geht es um IP6 und DHCP. Folgernder Aufbau ist geplant: WAN / Internet : : .+. '+' Statisches ...

Heiß diskutierte Inhalte
Batch & Shell
Mehrere Server anpingen positive und negative Ergebnis in Datei schreiben
Frage von tommhiiBatch & Shell27 Kommentare

Hallo ich hab eine Frage ich habe in einer Liste mehrere Server eingetragen die ich per batch anpingen will. ...

Sonstige Systeme
Home Office Ortung IP via VPN und Citrix
Frage von ColdstormSonstige Systeme26 Kommentare

Hallo zusammen, ich habe eine allgemeine Frage. Ich arbeite für einen deutschen Automobilclub (fängt mit A an und mit ...

Schulung & Training
Präsentation mit Gestensteuerung (Schnipsen)
gelöst Frage von battalgaziSchulung & Training18 Kommentare

Hallo, ich habe vor kurzem an einer MLP Paresentation teilgenommen, der Dozent hat mit einem Schnipsen die Folien gesteuert. ...

Microsoft Office
Office 2010 Starter SetupConsumerC2ROLW.exe Datei
gelöst Frage von ITAzubi2Microsoft Office18 Kommentare

Moin moin, ich bin frischer IT Azubi und soll auf ein neues Notebook mit Win 10 Office 2010 Starter ...

Switche und Hubs
Aruba VSF-2930F DHCP Problem
Frage von fbe280tSwitche und Hubs15 Kommentare

Hallo Ihr da draußen, wir haben drei Aruba VSF-2930F zu einem virtuellen Switch zusammengefügt und haben dort mehrere V-Lans ...

JavaScript
Subtraktion in Javascript für ausfüllbares PDF
gelöst Frage von imebroJavaScript15 Kommentare

Hallo liebe User, ich habe ein Adobe PDF-Dokument in ein ausfüllbares PDF-Dokument umgewandelt. Grds. funktioniert alles sehr gut. Auch ...

Administrator Magazin
10 | 2020 Nicht erst durch die Corona-Krise sahen sich viele Firmen damit konfrontiert, dass sich Mitarbeiter von unterschiedlichen Geräten und verschiedensten Lokationen aus anmelden. Daher sind hier neue Konzepte für das Berechtigungs- und Identitätsmanagement gefragt, die einerseits die Sicherheit erhöhen und andererseits Nutzern die nötige Flexibilität ...
Best VPN